A certeza da fraude é tão grande que os bancos já contingenciam valores para pagar o prejuízo com as fraudes.
Por Raimundo Saraiva*
Em 2014, segundo a Federação Brasileira de Bancos (Febraban), as instituições bancárias pagaram cerca de R$ 1,2 bilhão aos clientes que tiveram problemas em suas contas bancárias, como transferências e saques indevidos por meio eletrônico.
Para complicar o cenário para os bancos, uma orientação recente do Superior Tribunal de Justiça (STJ) determinou que os bancos, para não terem que arcar com prejuízos por fraudes ou delitos praticados por terceiros em operações financeiras, deverão comprovar que a culpa foi unicamente do cliente.
Este cenário nos leva aos seguintes questionamentos: o que está havendo com os setores de combate às fraudes do sistema bancário? Existem tecnologias que possam fazer frente a este desafio de combate à fraude no sistema bancário? Qual esta sendo a dificuldade em adotar novas medidas e tecnologias para combate à fraude nas transações financeiras? É um objetivo legítimo ter nível zero de fraude nas transações bancárias?
No caso do internet banking e mobile banking, que são os canais que possuem as maiores taxas de adoção como meio de pagamento, constatamos facilmente que há uma grande diversidade de mecanismos tecnológicos colocados nas mãos dos clientes, mas que não estão conseguindo estancar os prejuízos advindos das fraudes bancárias, conforme os números apresentados pela Febraban.
A comunidade científica e dos profissionais dos bancos já mapearam todos estes mecanismos tecnológicos e conseguiram identificar as vulnerabilidades presentes em cada um deles, que estão sendo regularmente exploradas pelos fraudadores.
A seguir faço uma compilação destas informações:
Mecanismo tecnológico X Vulnerabilidade explorada
Um software OCR consegue ler a informação solicitada e a reproduz.
Um malware coleta todas as senhas ou pode solicitar que o próprio usuário as informe.
O autorizador OTP é capturado, em tempo real, e reutilizado em transações fraudulentas.
Screenloggers ou mouseloggers permitem a captura das informações.
As informações dos hardwares do usuário são reproduzidas.
Screenloggers, mouseloggers ou keyloggers permitem a captura das informações.
Faz-se uso das informações disponibilizadas pelo usuário nas redes sociais, serviços de buscas na internet e por engenharia social.
As informações dos hardwares do usuário são reproduzidas. Também Computadores faz-se uso da reprodução das informações de cadastramento. Adicionalmente a técnica de engenharia social faz o usuário autorizar um computador ilegítimo.
Os malwares chamados “0 day” ficam ativos até que seja o usuário também é enganado por páginas falsas que impedem que a solução seja carregada.
Certificados tipo A1 são exportados e utilizados remotamente. Certificados tipo A3 são utilizados enquanto o usuário está com uma sessão aberta.
Malwares criam perfis de usuário que permitem “imitar” o comportamento do usuário.
O fraudador altera os dados de cadastro do usuário e informa outro número de celular.
Devido ser uma técnica estatística de correlação de padrão, sempre está sujeita a “falso” positivo e negativo, levando os bancos a implementarem um desvio programado que permite a transação sem a confirmação biométrica.
O leitor certamente identifica pelo menos um mecanismo tecnológico que o seu próprio banco utiliza para se relacionar com os clientes ou que ele próprio utiliza para manipular a sua conta bancária. Pois bem, todos estes mecanismos estão sujeitos às fraudes, com maior ou menor nível de fragilidade.
Em alguns bancos europeus, já está em uso uma nova tendência para desenvolvimento de tecnologia bancária que tem se mostrado efetiva no combate à fraude. A tecnologia se baseia na adoção de um modelo com um protocolo de assinatura da transação bancária, com abordagem fora de banda, e uso de um segundo fator de autenticação.
No Brasil, um grande banco já faz uso desta estratégia, que tem se confirmado como ferramenta eficaz no combate à fraude, sendo capaz de garantir 100% das transações.Em alguns bancos europeus, já está em uso uma nova tendência para desenvolvimento de tecnologia bancária que tem se mostrado efetiva no combate à fraude. A tecnologia se baseia na adoção de um modelo com um protocolo de assinatura da transação bancária, com abordagem fora de banda, e uso de um segundo fator de autenticação.
Seguindo esta tendência e como oferta para o setor bancário, a Z Tecnologia desenvolveu um dispositivo físico (smart token), de baixo custo, grande usabilidade, com capacidade de ler QR Codes criptografados, adequado para realizar a função de segundo fator de autenticação para o usuário bancário, com a vantagem adicional de operar “off-line”. Com esta tecnologia, o banco tem condições de identificar e autenticar o usuário, com garantia de não repudio, recurso necessário para que ele possa se livrar de situações de auto-fraude.
Smart Token ZTec
Também foi desenvolvido um protocolo de assinatura de transações que utiliza algoritmos criptográficos de comprovada eficiência (Curve25519, AES-GCM) e resistente contra-ataques adaptativos de criptograma escolhido (IND-CCA2). A oferta se completa com o suporte à implantação da tecnologia no back-end e sistema de internet banking dos bancos.
Esta tecnologia estará em exposição durante a maior feira do setor bancário brasileiro, CIAB 2015, de 16 à 18 de junho, no Stand I-17, da CIS Eletrônica. A Z Tecnologia e a CIS Eletrônica firmaram parceria para levar esta tecnologia ao setor bancário brasileiro.
A Z Tecnologia (www.ztec.com.br) é uma empresa brasileira, pioneira no desenvolvimento de tecnologia de proteção da informação, tendo desenvolvido os principais projetos de proteção de comunicações no setor militar brasileiro. Em 2014 a ZTec foi reconhecida como Empresa Estratégica de Defesa, pelo Ministério da Defesa.
CIS Eletrônica (www.cis.com.br) é uma indústria com 30 anos de atuação nos mercados de produtos de automação bancária e comercial. Seus principais produtos são smart tokens, leitores de código de barras e cheques, impressoras para bancos, leitores biométricos, leitores de cartões magnéticos e sem contato, scanners de cheques e sensores óticos.
Diretor Z Tecnologia – ZTec Pesquisador na UnB
